南开大学23年秋学期《逆向工程》在线作业一

奥鹏南开大学23年秋季新学期作业参考

23秋学期（仅限-高起专1909、专升本1909）《逆向工程》在线作业-00001

用于判断指定文件的属性的Windows API函数是（）
A:GetLogicalDriveStrings()
B:GetLogicalDrives()
C:GetFileAttributes()
D:CreateFileA
正确答案问询微信：424329

假设整形数组ary的首地址是0x1000，则ary[2]的位置是
A:0x1000
B:0x1004
C:0x1008
D:0x100C
正确答案问询微信：424329

由R3进入R0是通过（）实现的。
A:内存映射
B:基地址重定位
C:中断
D:异常
正确答案问询微信：424329

在大端字节序中0.127.1.0 ，对应的正整数16进制表示为
A:0x7F000001
B:0x01000007F
C:0x000017F00
D:0x007F0100
正确答案问询微信：424329

虚表的每一项都是（）个字节，存储的是成员函数的地址
A:2
B:4
C:6
D:8
正确答案问询微信：424329

在以下PE文件的常见区块中，哪一个包含输出表信息。
A:.text
B:.data
C:.idata
D:.edata
正确答案问询微信：424329

表示回调函数在试图处理该异常时再次发生了异常，也就是嵌套异常的返回值是下面哪个（ ）
A:ExceptionContinueExecution
B:ExceptionContinueSearch
C:ExceptionNestedException
D:ExceptionCollidedUnwind
正确答案问询微信：424329

以下不是函数传递参数的方式的是
A:寄存器
B:通过全局变量进行隐含参数传递
C:队列传递
D:栈方式
正确答案问询微信：424329

计算机体系结构中，（）层是由十六进制形式的操作码组成，用于告诉处理器你想它干什么。
A:微指令
B:机器码
C:低级语言
D:高级语言
正确答案问询微信：424329

“Start”键表示内核刚刚初始化的是（）。
A:SERVICE_BOOT_START(0)
B:SERVICE_BOOT_START(1)
C:SERVICE_BOOT_START(2)
D:SERVICE_BOOT_START(3)
正确答案问询微信：424329

通常使用（）中断来判断设备的优先级。
A:PASSIVE_LEVEL
B:APC_LEVEL
C:DISPATCH_LEVEL
D:DIRQL
正确答案问询微信：424329

Windows内核部分会调用一些内核层的函数。这些函数都以固定的前缀开始，分别属于内核中不同的管理模块，其中“Ps”属于哪个模块。
A:管理层
B:核心层
C:进程管理
D:安全管理
正确答案问询微信：424329

只有APC级别的中断被屏蔽，可以访问分页内存的中断级别是（）。
A:PASSIVE_LEVEL
B:APC_LEVEL
C:DISPATCH_LEVEL
D:DIRQL
正确答案问询微信：424329

挂钩SSDT中的（）函数可以防止搜索窗口。
A:NtGdiBitBlt
B:NtGdiStretchBlt
C:NtUserSendInput
D:NtUSerFindWindowEx
正确答案问询微信：424329

允许或禁止指定窗口的API函数是
A:EnabIeMenultem()函数
B:Enablewindow()函数
C:GetTickCount()函数
D:timeGetTime()函数
正确答案问询微信：424329

英文大写字母D的ASCII码值为44H，英文大写字母F的ASCII码值为十进制数.
A:46.
B:68.
C:70.
D:15.
正确答案问询微信：424329

Windows内核部分会调用一些内核层的函数。这些函数都以固定的前缀开始，分别属于内核中不同的管理模块，其中“Se”属于哪个模块。
A:管理层
B:核心层
C:进程管理
D:安全管理
正确答案问询微信：424329

输出表(Export Table)的主要内容是一个表格，其中包括函数名称、输出序数等。序数是指定DLL中某个函数的（）位数字，在所指向的DLL里是独一无二的。
A:13
B:14
C:15
D:16
正确答案问询微信：424329

IDA的（）功能类似于OllyDbg的Run trace功能。
A:断点
B:跟踪
C:修改可执行文件
D:参考重命名
正确答案问询微信：424329

以下动态链接库中哪个负责对象安全性、奥鹏南开大学23年秋季新学期作业参考注册表操作
A:Advapi32.dll
B:Comctl32.dll
C:Comdlg32.dll
D:Shell32.dll
正确答案问询微信：424329

1.若依次压入数字1、2、3、4，则第二次弹出来的会是（）。
A:1
B:2
C:3
D:4
正确答案问询微信：424329

在以下PE文件的常见区块中，哪一个包含其他外来DLL函数及数据信息。
A:.text
B:.data
C:.idata
D:.edata
正确答案问询微信：424329

表示回调函数在进行异常展开操作时再次发生了异常，其中展开操作可以简单理解为恢复发生事故的第一现场，并在恢复过程中对系统资源进行回收的返回值是下面哪个（）？
A:ExceptionContinueExecution
B:ExceptionContinueSearch
C:ExceptionNestedException
D:ExceptionCollidedUnwind
正确答案问询微信：424329

虚函数的地址是在（）时候确定的。
A:程序编写时
B:编译程序时
C:调用即将进行时
D:程序执行后
正确答案问询微信：424329

CPU设计制造商在设计之初是让（）运行内核，（）和（）运行设备驱动，（）运行应用程序。
A:R1、R2、R3、R4
B:R0、R1、R2、R3
C:R3、R2、R1、R0
D:R4、R3、R2、R1
正确答案问询微信：424329

WinDbg支持哪些调试（）
A:以打开、附加的方式调试应用程序
B:可以分析Dump文件
C:可以进行远程调试
D:内核调试
正确答案问询微信：424329

去除警告窗口常用的3种方法是（）？
A:修改程序的资源
B:静态分析
C:动态分析
D:放置不管
正确答案问询微信：424329

有关进程和线程的数据结构有（）。
A:EPROCESS
B:ETHREAD
C:PEB
D:TEB
正确答案问询微信：424329

IDA反汇编代码可以输出（）格式文件。
A:MAP
B:ASM
C:EXE
D:DIF
正确答案问询微信：424329

可以通过（）函数调用和（）段寄存器来访问TEB结构。
A:NtCurreentTeb
B:deviceIoControl
C:FS
D:DS
正确答案问询微信：424329

C++的三大核心机制是什么（）
A:封装
B:继承
C:对象
D:多态
正确答案问询微信：424329

常用的数据传送函数有（）
A:send()
B:recv()
C:WSASend()
D:WSARecv(）
正确答案问询微信：424329

以下是资源类型的有
A:VC类标准资源
B:Delphi类标准资源
C:非标准的Unicode字符
D:标准的ASCII字符
正确答案问询微信：424329

传统的系统引导与启动方法主要借助（）。
A:BIOS
B:MBR
C:UEFI
D:GPT
正确答案问询微信：424329

到系统中安装的所有驱动器的列表的Windows API函数是（）
A:GetLogicalDriveStrings()
B:GetLogicalDrives()
C:FindFirstFileA
D:GetFileAttributes()
正确答案问询微信：424329

Address列显示被双击行地址的就绝对地址，再次双击返回标准地址模式
A:对
B:错
正确答案问询微信：424329

x86平台上将SEH数据结构存放在栈中是一种非常安全的行为。
A:对
B:错
正确答案问询微信：424329

只能设置1个硬件断点
A:对
B:错
正确答案问询微信：424329

在64位Windows操作系统上只可以运行64位程序，不可以运行32位程序。
A:对
B:错
正确答案问询微信：424329

减法指令的格式是sub value,destination
A:对
B:错
正确答案问询微信：424329

在MDebug调试器中，跟OllyDbg一样只能设置1个内存断点。
A:对
B:错
正确答案问询微信：424329

可以创建一个子进程进行调试，也可以对正在运行的程序进行附加调试。
A:对
B:错
正确答案问询微信：424329

Unicode字符需要用到内存中连续的两个字节
A:对
B:错
正确答案问询微信：424329

利用WinDbg调试内核有多种方法。例如，WinDbg通过USB 、 1394火线、COM及网络把两台机器连接起来。
A:对
B:错
正确答案问询微信：424329

Windows对内存使用段页式的管理方式。
A:对
B:错
正确答案问询微信：424329

Keystone和Capstone是同一系列的引擎，由同一维护者主导开发。Capstone主要负责跨平台多指令集的反汇编工作，而Keystone主要负责跨平台多指令集的汇编工作。与O11yDbg的汇编器一样，Keystone也只支持文本汇编，不支持像AsmJit那样的函数式汇编
A:对
B:错
正确答案问询微信：424329

OllyDbg可以直接附加到隐藏进程
A:对
B:错
正确答案问询微信：424329

Windows内核驱动模块是内核的重要组成部分，虽然有微软自己开发的内核驱动，但是没有第三方开发的内核驱动。
A:对
B:错
正确答案问询微信：424329

x64平台上原生x64程序的异常分发流程与x86平台上不是完全一致的
A:对
B:错
正确答案问询微信：424329

x64平台上原生x64程序的异常分发不仅也有两次分发机会，而且也支持SEH和VEH两种异常处理机制
A:对
B:错
正确答案问询微信：424329